Denk twee keer na voordat je een domeinnaam opzegt
Opgezegde domeinnamen zijn een onderschat beveiligingsrisico. Nee, dit is geen verkapt verkoopverhaal om binnen de churn rate te blijven. Dit verhaal gaat over manco’s in het fundament van ons internetgebruik. In dit artikel vertel ik je over de risico’s van opgezegde domeinnamen, toon ik voorbeelden hoe het fout kan gaan, en geef ik tot slot enkele praktische tips.
Week van de Veiligheid
Week 41 (dit jaar van 8 tot en met 14 oktober) staat jaarlijks in het teken van de nationale Week van de Veiligheid. Van oudsher richt de week zich op ondernemers, met als doel het thema “preventie” extra onder de aandacht te brengen. Dit jaar heeft de Week van de Veiligheid internetcriminaliteit bij bedrijven als thema.
Registreren, gebruiken, opzeggen
Het registreren van domeinnamen gaat op basis van first come, first serve. Kortom, wie het eerst komt, wie het eerst maalt. Ergens komt er een moment waarop je afstand wil doen van je domeinnaam. Bijvoorbeeld omdat je stopt met je onderneming en je niet meer jaarlijks wil betalen voor de domeinnaam. Zodra een domeinnaam is opgeheven, komt deze in quarantaine te staan. Afhankelijk van de domein-extensie kan dit een aantal dagen duren. Daarna is de domeinnaam weer beschikbaar. Ook internetcriminelen kunnen je oude domeinnaam vervolgens registreren en (her)gebruiken. En in dat (her)gebruiken schuilt het gevaar.
(Her)gebruik van jouw domeinnaam
Als je de laatste jaren e-mail hebt gebruikt via je domeinnaam, dan is het niet ondenkbaar dat het e-mailadres nog in adresboeken van anderen staat. Bij veel e-mailprogramma’s gebeurt dit automatisch. Deze e-mail kan met een catch-all (e-mailadres waarop alle e-mail gericht aan de domeinnaam binnenkomt) eenvoudig worden afgevangen door de nieuwe ‘eigenaar’ van de domeinnaam. Zo kan er mogelijk vertrouwelijke correspondentie in verkeerde handen vallen. Door simpelweg opgezegde domeinnamen van de politie te registreren, kreeg ethisch hacker Wouter Slotboom het in 2017 voor elkaar om enkele vertrouwelijke rapporten in handen te krijgen.
Een andere manier waarop jouw domeinnaam kan worden (her)gebruikt, is door de domeinnaam door te sturen naar een andere website. Hoe dit fout kan gaan, merkte ketchupfabrikant Heinz in 2015, nadat zij de domeinnaam van een campagnewebsite hadden opgezegd. De QR-code op de verpakking stond gekoppeld aan een opgezegde domeinnaam. Het gevolg: de QR-code op vele producten stuurde gebruikers door naar een pornowebsite.
Nog meer voorbeelden
Zoals je merkt zijn de ‘mogelijkheden’ eindeloos. Want met het afvangen van e-mail of het doorsturen van een domeinnaam stopt het niet. Internetcriminelen kunnen een volledige identiteit overnemen door een website (of webshop) uit archiefbanken te halen en voort te zetten.
Een ander probleem is het gebruik van inlogaccounts. Er zijn de laatste jaren nogal wat digitale inbraken geweest waar gegevens zijn gelekt. Internetcriminelen kunnen zo achterhalen welke e-mailadressen waar werden gebruikt, om vervolgens via een wachtwoord-reset toegang te krijgen.
Via Have I Been Pwned en Gotcha? kun je nagaan of jouw e-mailadres is gelekt bij bekende digitale inbraken.
Praktische tips
Er is geen goed of fout als het om het opzeggen van domeinnamen gaat. Wel is het goed om twee keer na te denken voordat je een domeinnaam opzegt.
- Documenteer op welke website je inlogaccounts gebruikt, en pas deze aan als je de domeinnaam opzegt.
- Gebruik waar mogelijk een 2FA (tweestapsverificatie) bij inlogaccounts.
- Zeg je een domeinnaam op? Stuur dan al je contacten een bericht met je nieuwe e-mailadres.
- Vervang de website door een placeholder met daarop een melding dat de website niet langer actief is. Of zorg dat de domeinnaam wordt doorgestuurd naar je nieuwe website.
- Stel een catch-all in, zodat alle e-mail wordt afgevangen. Stuur deze e-mail door naar jouw nieuwe e-mailadres, en stel een automatisch antwoord in met begeleidend schrijven dat jouw oude e-mailadres niet meer actief is.
- Bestudeer het internetverkeer naar je website. Met name referral links (andere websites die naar jou verwijzen) zul je mogelijk moeten benaderen.
- Zeg de domeinnaam pas op als je geen activiteit meer op de domeinnaam hebt.
Deel je ervaring
Ik hoop dat je door het lezen van dit artikel een beter beeld hebt gekregen van de risico’s van opgezegde domeinnamen. Heb je een vraag, opmerking of wil je jouw ervaring delen? Reageer dan onderaan dit artikel!